Una filtración de datos desde un servidor en la nube inapropiadamente asegurado ha dejado al descubierto cientos de miles de documentos sensibles de transferencias bancarias en la India, revelando números de cuenta, cifras de transacciones y información de contacto de los clientes.
Investigadores de la firma de ciberseguridad UpGuard descubrieron a finales de agosto un servidor de almacenamiento de Amazon de acceso público que contenía 273.000 documentos PDF relacionados con las transferencias bancarias de clientes indios.
Los archivos expuestos contenían formularios de transacción completados, destinados a ser procesados a través de la cámara de compensación electrónica nacional, o NACH, un sistema centralizado utilizado por los bancos en la India para agilizar transacciones recurrentes de alto volumen, como nóminas, pagos de préstamos y facturas de servicios.
Los datos estaban vinculados a al menos 38 bancos e instituciones financieras diferentes, según indicaron los investigadores a TechCrunch.
Se desconoce la razón por la cual los datos permanecían públicamente expuestos y accesibles en Internet, si bien este tipo de negligencias en seguridad no son infrecuentes debido a configuraciones erróneas y fallos humanos.
Tampoco está claro quién provocó la filtración, quién la solventó y quién es responsable en última instancia de alertar a las personas cuyos datos personales se vieron comprometidos.
Datos asegurados, pero nadie asume la responsabilidad
En la publicación de su blog detallando los hallazgos, los investigadores de UpGuard señalaron que, de una muestra de 55.000 documentos, más de la mitad mencionaban el nombre de la entidad crediticia india AYE Finance, la cual había presentado una OPA de 171 millones de dólares el año anterior. Según los investigadores, el State Bank of India, de propiedad estatal, fue la siguiente institución que apareció con mayor frecuencia en los documentos muestreados.
Tras descubrir los datos expuestos, los investigadores de UpGuard notificaron a AYE Finance a través de sus direcciones de correo corporativas, de atención al cliente y de seguridad. Los investigadores también alertaron a la National Payments Corporation of India, o NPCI, el organismo oficial responsable de gestionar NACH.
A principios de septiembre, los investigadores afirmaron que los datos seguían expuestos y que miles de archivos se añadían diariamente al servidor vulnerable.
UpGuard señaló que posteriormente alertó al equipo de respuesta a emergencias informáticas de la India, Cert-In. Poco después, los datos expuestos fueron asegurados, según comunicaron los investigadores a TechCrunch.
Sin embargo, nadie parece querer asumir la responsabilidad por el fallo de seguridad.
Cuando se contactó para realizar comentarios, el portavoz de NPCI, Ankur Dahiya, declaró a TechCrunch que los datos expuestos no procedían de sus sistemas.
“Un análisis y revisión detallados han confirmado que no se han expuesto o comprometido datos relacionados con la información o registros de mandatos de NACH de los sistemas de NPCI”, afirmó el portavoz en un correo electrónico enviado a TechCrunch.
El cofundador y CEO de AYE Finance, Sanjay Sharma, no respondió a la solicitud de comentarios de TechCrunch. El State Bank of India tampoco respondió a la petición de declaraciones.